Świat powinien przestać używać tradycyjnych haseł z obawy przed tym, że są zbyt podatne na ataki hakerów, ostrzegła brytyjska agencja zajmująca się cyberbezpieczeństwem. Krajowe Centrum Cyberbezpieczeństwa (NCSC) ogłosiło, że dokonuje „zmiany w kierunku przełomu w praktyce ostatnich dziesięcioleci”, zalecając społeczeństwu zaprzestanie polegania na hasłach w celu ochrony. Zmiana zaleceń wynika z faktu, że większość prób phishingu zaczyna się od włamania lub kradzieży danych logowania osoby. Zamiast tego zachęca się wszystkich do przyjęcia kluczy dostępu, bardziej bezpiecznej i wygodniejszej alternatywy dla haseł. Klucze dostępu, porównywane do „cyfrowych pieczęci”, nie muszą być zapamiętywane, ponieważ są tworzone i zarządzane przez oprogramowanie na urządzeniu. Dla wielu oznacza to wykorzystanie danych biometrycznych, takich jak odcisk palca czy rozpoznawanie twarzy albo PIN telefonu do stworzenia i uwierzytelnienia klucza dostępu. Ta preferowana metoda pozwala na bezpieczny cyfrowy klucz na telefonie, komputerze lub tablecie – i może zaoszczędzić użytkownikom minutę za każdym razem, gdy się logują. Zdaniem ekspertów w NCSC, jednostce działającej w strukturze GCHQ, nawet jeśli strona internetowa wykorzystująca klucze dostępu zostanie zhakowana, hakerzy mogą uzyskać dostęp tylko do „publicznych” kluczy, które same w sobie są bezwartościowe. Kiedy użytkownik pierwszy raz loguje się na urządzeniu, system wysyła klucz cyfrowy do określonych urządzeń. Pozwala to użytkownikowi na bezpieczne logowanie w przyszłości bez potrzeby hasła, wiadomości tekstowej lub innego kodu. Klucz pozostaje przechowywany na urządzeniu i nie może być łatwo przechwycony ani skradziony – z osobami trzecimi nie będącymi w stanie uzyskać dostępu do kont przy użyciu innych urządzeń. Klucze dostępu zostały już wdrożone w wiele usług cyfrowych rządu, takich jak NHS. Oprócz zabezpieczania danych zdrowotnych pacjentów, klucze dostępu są uważane za przynoszące znaczne oszczędności, ponieważ eliminują potrzebę autoryzacji wieloczynnikowej, jak otrzymywanie kodów czasowości wysyłanych wiadomościami tekstowymi. Użycie kluczy dostępu zostało później dostosowane przez główne usługi online, takie jak Google, Microsoft, PayPal i eBay. Dane z Google wskazują, że ponad połowa ich użytkowników w Wielkiej Brytanii jest zarejestrowana z kluczem dostępu. Jonathon Ellison, dyrektor ds. odporności narodowej w NCSC, powiedział, że klucze dostępu stanowią „przyjazną dla użytkownika alternatywę, która zapewnia silniejszą ogólną odporność”. Powiedział: „Dążąc do przyspieszenia obrony cybernetycznej Wielkiej Brytanii na szeroką skalę, przejście na klucze dostępu to coś, co wszyscy możemy zrobić, aby poprawić bezpieczeństwo codziennych usług cyfrowych i być przygotowanym na nowoczesne i przyszłe zagrożenia cybernetyczne”. NCSC powiedziało, że w zeszłym roku wstrzymało się od poparcia dla przyjęcia kluczy dostępu ze względu na zastrzeżenia dotyczące ich wdrożeń. Jednakże agencja oświadczyła, że postępy w przemyśle technologicznym od tej pory oznaczały, że klucze dostępu zostały uznane za bardziej bezpieczne i przyjazne dla użytkownika, zachęcając firmy do ich wdrażania jako opcji domyślnej dla konsumentów. W czwartek techniczny raport NCSC przedstawi, jak klucze dostępu są równe, jeśli nie bardziej bezpieczne, niż najmocniejsze możliwe hasło w połączeniu z procesem weryfikacji dwuetapowej. W przypadku, gdy usługi online nie obsługują kluczy dostępu, NCSC zaleca używanie menedżera haseł do tworzenia silniejszych haseł i kontynuowanie korzystania z weryfikacji dwuetapowej. Chris Hosking z firmy cybernetycznej SentinelOne powiedział, że klucze dostępu eliminują „całe klasy ataków”. Powiedział: „Rzeczywistość polega na tym, że wszyscy balansujemy dziesiątkami logowań w naszym życiu zawodowym i prywatnym, oczekując, że wszyscy pracownicy stworzą i zarządzają silnymi, unikalnymi hasłami dla każdego z nich, po prostu nie jest to realistyczne. Ostatecznie ludzie je powtarzają albo korzystają z tych samych przez lata. Dlatego tak wiele poważnych naruszeń zaczyna się tak samo – popularna usługa z uwierzytelnionymi użytkownikami zostaje zhakowana, te hasła i maile trafiają do skompromitowanych danych na dark webie, co wywołuje efekt domina, który kompromituje wiele stron i systemów. „Klucze dostępu eliminują całe klasy ataków, ponieważ nie ma hasła do skradnięcia ani ponownego użycia”.
